BTC
$0.00
0.00%
Ich hätte nie gedacht, dass ein gewöhnlicher Abend zu einer Spionagegeschichte werden könnte, die später weltweit bekannt werden würde. Eine sehr seltsame, aber gleichzeitig sehr einfache Geschichte, die ich zuerst den Mitarbeitern des Sicherheitsdienstes des Unternehmens und jetzt auch Ihnen erzählen musste.
Außerdem ist es nicht schwer, sich vorzustellen, was passiert wäre, wenn meine Software nach der Authentifizierung plötzlich Zugriff auf die Schlüssel von Krypto-Wallets auf der ganzen Welt erhalten hätte – genauso wie auf Staubsaugerroboter. Ich hätte nicht nur die Daten sehen können, sondern auch die Gelder von Fremden auf der ganzen Welt verwalten können. Aber ich erzähle Ihnen alles der Reihe nach.
Ich saß in meinem Zimmer und versuchte, die Steuerung meines neuen Staubsaugers DJI Romo zu beherrschen, der Drohnentechnologien (LiDAR, binokulares Sehen) und eine Videoüberwachungsfunktion kombiniert. Einfacher gesagt: Ich wollte ein bisschen spielen und nicht putzen. Als ich meinen Staubsauger startete, erschienen vor mir die Daten eines weiteren Geräts. Und dann noch eines und noch eines. Nach wenigen Minuten sah ich bereits 6700 Roboter aus aller Welt, jeder mit seiner Seriennummer, IP-Adresse, dem Ladezustand seines Akkus und sogar einer Karte der Räumlichkeiten. Das heißt, ich hatte gleichzeitig Zugriff auf Tausende fremder Wohnungen und deren Kameras.
In einem schönen Moment wurde ich zum unsichtbaren Beobachter in Hunderten von Wohnungen in Asien, Europa, Nordamerika und anderen Teilen der Welt.
Ich habe diese Roboter zwar nicht absichtlich gehackt – mein Authentifizierungsschlüssel wurde vom DJI-Server einfach als Universalschlüssel erkannt. Stellen Sie sich nun vor, dass sich in diesem System anstelle von Staubsaugerrobotern Konten und Krypto-Wallets befanden – jedes mit Hunderten oder Hunderttausenden von Dollar in verschiedenen digitalen Währungen!
Ich war entsetzt, als ich mir vorstellte, wie wenig Zeit nötig wäre, um Hunderte von Millionen in unbekannte Richtungen zu transferieren – schließlich könnten Kriminelle schnell Ether, Bitcoins oder andere Token an fremde Adressen senden. Glücklicherweise war dies jedoch nur ein hypothetisches Szenario. In Wirklichkeit sah ich mich mit Millionen von Bildern von Wohnräumen und den Bewegungswegen von Staubsaugern konfrontiert, nicht mit den Schlüsseln zu Kryptowährungskonten.
Ich deaktivierte sofort meine App, gab DJI den Zugriff zurück und schrieb dem Unternehmen über die Sicherheitslücke. Ich wurde fast als Krimineller bezeichnet, obwohl ich eigentlich nur versucht hatte, mit Hilfe des Geräts meine Wohnung zu reinigen.
Dennoch scheint das Unternehmen diese Lektion gelernt zu haben – denn wenn es um private Daten oder digitale Vermögenswerte geht, kann ein einziger Fehler viel mehr kosten, als man sich vorstellen kann!
Nach der Geschichte mit Romo dachte ich, dass ich einen Schlussstrich unter diese seltsame Geschichte gezogen hätte. Ja, es ist genau die viel diskutierte Geschichte, in der ich versuchte, die Steuerung meines neuen DJI Romo-Roboters zu erlernen, der Drohnentechnologie und Videoüberwachungsfunktionen kombiniert, und dabei Robotergeräte auf der ganzen Welt hackte. Aber die eigentliche Intrige begann später, als mich ein Bekannter, Analyst bei Chainalysis, anrief und fragte, ob ich mir sicher sei, dass mein Fall ein Zufall sei. Ich möchte anmerken, dass wir uns zuvor auf Konferenzen zum Thema digitale Sicherheit in San Francisco und Las Vegas getroffen hatten, wo wir über Phishing, Hacking-Methoden und bereits gehackte Krypto-Wallets gesprochen hatten.
Er erzählte mir, dass ihre Systeme seltsame Aktivitäten registriert hätten: synchrone Zugriffsversuche auf mehrere tausend Krypto-Wallets, die eines gemeinsam hatten – die Nutzung von Drittanbieterdiensten mit zentraler Authentifizierung. Dabei gab es keine sichtbaren Spuren eines direkten Hackerangriffs. Nur eine Schwachstelle zwischen dem Benutzer und dem Server. Ich erklärte mich bereit, alles zu erzählen, was ich darüber wusste, und die bereits bekannte Geschichte, wie ich versehentlich 6700 Geräte gehackt hatte.
Wir trafen uns offline. Auf dem Tisch stand ein Laptop mit Transaktionslisten, Zeitstempeln und IP-Clustern. Ein Teil der Routen führte zu einer Infrastruktur, die zuvor mit der Lazarus Group in Verbindung gebracht wurde – einer Gruppe, die für Angriffe auf Kryptobörsen und DeFi-Projekte bekannt ist. Es gab keine direkten Beweise. Aber die Zufälle waren zu interessant.
Mir wurde klar, dass, wenn die Romo-Sicherheitslücke nicht Staubsaugerroboter, sondern Krypto-Wallets betroffen hätte, das Szenario katastrophal gewesen wäre: Das System hätte die Bewegung der Gelder registriert. Dabei wären die privaten Schlüssel unwiederbringlich verloren gegangen. Bemerkenswert ist, dass die Nutzer die Börsen, Hersteller und Softwareentwickler beschuldigt hätten. Aber der wahre Grund waren Fehler in der Zugriffsarchitektur.
Wir haben unsere weiteren Maßnahmen nicht öffentlich gemacht. Stattdessen habe ich die technischen Erkenntnisse an das Sicherheitsteam weitergeleitet, und innerhalb weniger Tage gab es einen Patch. Ich wurde schriftlich darüber informiert, dass Spezialisten bereits das nächste Sicherheitssystem testen, um das Auftreten des Phänomens „Universalschlüssel” zu verhindern.
In der digitalen Welt beginnt ein Verbrechen selten mit einem Einbruch. Meistens beginnt es mit einer praktischen Lösung, die „für alle Schlösser zu gut funktioniert”. Und manchmal kann alles mit dem Einschalten des Controllers eines gewöhnlichen Staubsaugers beginnen. Genau das ist mir kürzlich passiert.
